DFN-CERT

Advisory-Archiv

2024-1701: Google Android Operating System: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2024-07-02 17:36)
Neues Advisory
Version 2 (2024-07-03 16:52)
Der Hersteller veröffentlicht Details zu vier weiteren Schwachstellen, welche die Pixel-Hardware betreffen und einem Angreifer aus der Ferne das Ausspähen von Informationen ermöglichen. Für die Ausnutzung sind keine Privilegien notwendig. Alle Schwachstellen werden mit dem Patch-Level 2024-07-05 behoben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Hardware
Google
Linux

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und nicht spezifizierte Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung zweier Schwachstellen kann Einfluss auf andere Komponenten haben.

Google stellt die Patch-Level 2024-07-01 und 2024-07-05 als Sicherheitsupdates bereit, mit denen die Schwachstellen behoben werden. Der Patch-Level 2024-07-01 behebt dabei Schwachstellen in Framework und System. Der Patch-Level 2024-07-05 behebt weitere Schwachstellen im Kernel sowie in ARM-, Imagination Technologies-, MediaTek- und Qualcomm-Komponenten.

Der Hersteller Samsung veröffentlicht ein Sicherheitsupdate, mit dem eine Teilmenge der hier referenzierten sowie weitere Schwachstellen behoben werden. Der Hersteller behebt zusätzliche Schwachstellen für Geräte aus eigener Produktion. Der Patch-Level des veröffentlichten Sicherheitsupdates wird mit 'SMR Jul-2024 Release 1' für Samsung-Geräte angegeben.

Hersteller (Partner) anderer Geräte wurden mindestens einen Monat vor Veröffentlichung dieser Meldung über die Schwachstellen informiert.

Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) führt die Schwachstelle CVE-2024-4610 in ihrem 'Known Exploited Vulnerabilities Catalog'.

Schwachstellen:

CVE-2024-0153

Schwachstelle in der ARM-Komponente ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2024-20076 CVE-2024-20077

Schwachstellen in Mediatek-Komponente ermöglichen Denial-of-Service-Angriffe

CVE-2024-21456

Schwachstelle in Pixel ermöglicht Ausspähen von Informationen

CVE-2024-21457

Schwachstelle in Pixel ermöglicht Ausspähen von Informationen

CVE-2024-21458

Schwachstelle in Pixel ermöglicht Ausspähen von Informationen

CVE-2024-21460

Schwachstelle in Qualcomm-Komponente ermöglicht Ausspähen von Informationen

CVE-2024-21461

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-21462

Schwachstelle in Qualcomm-Komponente ermöglicht Denial-of-Service-Angriff

CVE-2024-21465

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-21466

Schwachstelle in Pixel ermöglicht Ausspähen von Informationen

CVE-2024-21469

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23368

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23372

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23373

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-23380

Schwachstelle in Qualcomm-Komponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-26923

Schwachstelle im Linux-Kernel ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-31320

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-31331

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-31332

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2024-31334 CVE-2024-31335 CVE-2024-34724 CVE-2024-34725 CVE-2024-34726

Schwachstellen in Imagination-Technologies-Komponente ermöglichen nicht spezifizierte Angriffe

CVE-2024-31339

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2024-34720

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-34721

Schwachstelle in System ermöglicht Ausspähen von Informationen

CVE-2024-34722

Schwachstelle in System ermöglicht Privilegieneskalation

CVE-2024-34723

Schwachstelle in Framework ermöglicht Privilegieneskalation

CVE-2024-4610

Schwachstelle in ARM-Komponente ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.